微妙に誤解されている? CSRF
2005年11月7日(月曜日)
微妙に誤解されている? CSRF
IT Pro でキーワードとして「クロスサイト・リクエスト・フォージェリ (itpro.nikkeibp.co.jp)」が取り上げられていますが……。CSRF の解説というより、「はまちちゃん」の解説になってしまっていますね。
「はまちちゃん」の事例は確かにスクリプトを使っていましたが、CSRF 自体はスクリプトとは関係のない話です。そもそも、「はまちちゃん」のスクリプトも単に自動的に POST させるだけのものです。ボタンを置いておいて押させれば良いだけの話ですし、ボタンをアンカーのように見せることも簡単です。つまり、スクリプト無効でも被害に遭う可能性があるのですが、そこが誤解されていないかちょっと心配ですね。
さらに微妙なのが対策の部分。
クロスサイト・リクエスト・フォージェリは,Webサイト側でセッションをきめ細かく管理することで防げる。処理中のWebページの要所要所でセッションIDを切り換えたり,重要度の高い画面に移るときは改めてパスワードを要求するなどの処理をWebアプリケーションに盛り込めば,手順を飛ばして実行する不正なスクリプトからの処理を排除できる
なんというか、はっきり言って意味がよく分かりませんが……。これで本当に防げるのでしょうか。
- 「微妙に誤解されている? CSRF」へのコメント (1件)
- 前(古い): Web バグは画像とは限らないはず
- 次(新しい): ファイルにゾーン情報をつけたりする